S’il existe bien un sujet très touchy sur le web, c’est celui des données personnelles… Mark Zuckerberg avec ses récents déboires en sait quelques choses. Du coup, petit à petit, le législateur s’est emparé du sujet.

Après avoir examiné le projet de loi sur la protection des données personnelles, l’Assemblée l’a enfin voté, pour une adoption le 21 mars dernier. Cependant, il reste encore quelques mois aux différentes entités concernées, après l’entrée en vigueur du Règlement général sur la protection des données personnelles (RGPD) prévues pour avril, pour apporter les modifications nécessaires aux niveaux technique et organisationnel afin d’être conformes à la nouvelle législation.

Mais de quoi parle-t-on vraiment ?

Les amendements adoptés par la commission des lois et les modifications apportées

Quelques amendements ont été adoptés par la commission des lois, dans le but de :

  • mieux accompagner les petites structures, TPE-PME et collectivités territoriales, dans la mise en œuvre de leurs nouvelles obligations ;
  • encadrer strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, et renforcer les garanties de transparence en la matière, par exemple pour les inscriptions à l’université ;
  • préciser le cadre juridique de la mise à disposition des décisions de justice (« open data ») afin de prévenir tout risque d’atteinte à la vie privée des personnes et à l’indépendance de la justice ;
  • s’assurer que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée.

Par ailleurs, quelques modifications apportées par le Sénat lors de la séance publique ont été également effectuées, afin de :

  • mettre en place un dispositif de labellisation pour les objets connectés, afin de s’assurer qu’ils répondent à des exigences élevées en matière de sécurité et de confidentialité de leurs données personnelles (amt 79 rect. – art. 1er) ;
  • garantir la non-utilisation des données personnelles de santé pour fixer les prix des assurances ainsi que l’impossibilité d’utiliser ces mêmes données à des fins de choix thérapeutique ou médical (amt 12 rect.– art. 13) ;
  • inscrire dans le code de l’éducation le principe de la transparence du traitement des données scolaires (amt 24 rect.bis– art. add. après art. 14) ;
  • lutter contre les abus de position dominante ayant pour effet d’imposer au consommateur la vente liée de matériels informatiques et d’applications ou services préinstallés (amt 78 rect. – art. add. après art. 17 bis).

Les dispositions à prendre par les entités concernées pour rester en conformité avec le RGPD

Il reste moins d’un an aux entreprises et aux administrations pour prendre les mesures nécessaires et se conformer au RGPD. Parmi les dispositions à prendre, on peut citer :

La création d’un poste pour le Responsable de la protection des données

Avec l’adoption de cette nouvelle loi, les entreprises devront d’ores et déjà prévoir la mise en place d’une entité responsable de la protection des données personnelles. Le service ou le département aura pour mission de s’assurer que l’ensemble des traitements personnels soit conforme à la nouvelle législation.

À défaut de personnel qualifié pour assurer la mission, l’entreprise peut opter pour la solution de l’externalisation pour assurer la prestation de protection de données personnelles, tout comme l’accompagnement en sécurité réseau proposé par Nomios.

L’évaluation du niveau de conformité avec le PIA (Privacy Impact Assessment)

Les entreprises devront revoir l’ensemble de leurs traitements de données personnelles. Les processus mis en place devront faire l’objet d’une évaluation pour savoir s’ils répondent aux exigences de la nouvelle législation en matière de sécurité et de confidentialité des données personnelles. Cette évaluation des traitements concerne à la fois les données informatisées et les données archivées en papier.

L’établissement d’un plan d’action

Les entreprises, avec cette nouvelle loi, sont amenées à prendre les dispositions nécessaires pour sécuriser les données personnelles. Le politique de confidentialité devra faire l’objet d’une étude approfondie, afin de garantir l’anonymat. Les entreprises devront établir un processus clair sur la durée de conservation des données et la finalité de chaque traitement des données personnelles. En outre, elles sont conviées à préconiser la mise en place d’un cadre de gouvernance pour la confidentialité des données personnelles.

Si vous remarquez une faute d’orthographe, vous pouvez nous la signaler en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée. Merci !

Poster un Commentaire

avatar
  S'abonner  
Notifications